Révoquer des utilisateurs

Révoquer un utilisateur est une opération visant à supprimer ses droits d’accès à l’organisation. C’est

  • l’utilisateur n’a plus besoin de cet accès (par exemple dans le cas d’une personne changeant d’entreprise)

  • l’utilisateur a été compromis

Note

Il n’y a pas moyen de révoquer un seul périphérique au lieu de l’utilisateur en entier. Il s’agit d’un comportement voulu car un périphérique compromis a connaissance des secret cryptographiques partagés entres les périphériques de l’utilisateur.

Révocation

La révocation se fait depuis le client :

Revoking user process

Note

  • Seul un administrateur de l’organisation peut révoquer un utilisateur

  • Révoquer un utilisateur est irréversible !

Rechiffrer un espace de travail

Une fois un utilisateur révoqué, ses périphériques ne sont plus autorisés à se connecter au serveur Parsec hébergeant son organisation. En pratique cela veut dire que l’utilisateur est dans l’incapacité de modifier ou consulter les données qui étaient partagées avec lui.

Toutefois d’un point de vu cryptographique, l’utilisateur a toujours connaissance des clés de chiffrement des espaces de travail dont il avait accès. Pour cette raison ces espaces de travail doivent être re-chiffrés afin d’assurer la sécurité des données.

En clair, une fois un utilisateur révoqué, chaque propriétaire d’un espace de travail ayant été partagé se voit notifié qu’une opération de re-chiffrement est nécessaire. À partir de ce moment, chaque propriétaire peut décider de réaliser l’opération ou bien d’attendre un meilleur moment (par exemple si plusieurs utilisateurs sont révoqués d’un coup)

Workspace re-encryption process

Note

  • Pendant ce re-chiffrement, un espace de travail ne peut pas être synchronisé

  • L’opération de re-chiffrement est très rapide étant donné que seules les méta-données sont re-chiffrées